路由交换技术-实验22：使用标准ACL限制IP访问

2022 年 05 月 22 日

1351 次浏览

2186字数

<h2>实训目的</h2><p>· 利用ACL限制IP访问。</p><h2>实训背景</h2><p>ACL(Access Control List, 访问控制列表)是指对流经路由器或交换机的数据包根据一定的规则进行过滤的控制，可以提高网络可管理性和安全性。<br>标准ACL是基于IP地址进行判断的。</p><h2>实训拓扑</h2><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/2105359719.png" alt="" title="" style=""></p><p>实训所需设备：</p><p>环境：Cisco Packet Tracer 8.0<br>设备： 2台PC，1台三层交换机，1台路由器</p><h2>实训步骤</h2><h6>步骤1：基本配置。</h6><p>R1：</p><pre><code>Router#conf t
Router(config)#hostname R1
R1(config)#int g0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.1.2 255.255.255.0
R1(config)#ip route 192.168.10.0 255.255.255.0 172.16.1.1  //配置访问192.168.10.0网段静态路由
R1(config)#ip route 192.168.20.0 255.255.255.0 172.16.1.1 //配置访问192.168.20.0网段静态路由</code></pre><p>SW1：</p><pre><code>SW1#conf t
SW1(config)#hostname SW1
SW1(config)#vlan 10
SW1(config-vlan)#vlan 20
SW1(config-vlan)#exit
SW1(config)#int f0/10
SW1(config-if)#switchport access vlan 10
SW1(config-if)#int f0/20
SW1(config-if)#switchport access vlan 20
SW1(config)#int g0/1
SW1(config-if)#no switchport  //转为路由口
SW1(config-if)#ip address 172.16.1.1 255.255.255.0
SW1(config-if)#int vlan 10
SW1(config-if)#ip address 192.168.10.1 255.255.255.0
SW1(config-if)#int vlan 20
SW1(config-if)#ip address 192.168.20.1 255.255.255.0
SW1(config-if)#exit
SW1(config)#ip routing  //开启路由功能
SW1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2  //配置默认路由</code></pre><h6>步骤2：给PC0和PC1配置IP。</h6><p>PC0：</p><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/1545947812.png" alt="" title="" style=""></p><p>PC1：</p><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/2863899216.png" alt="" title="" style=""></p><p>通过PC0去ping路由器接口IP，验证实现全网通。</p><h6>步骤3：在SW1交换机上配置标准ACL，并在gi0/1调用</h6><pre><code>SW1(config)#int f0/10
SW1(config)#access-list 1 permit 192.168.10.0 0.0.0.255   //序列1~99标准的ACL，指定源地址，只允许VLAN10网段192.168.10.0/24网段
SW1(config)#access-list 1 deny any  //默认有一条deny any的条目
SW1(config)#int g0/1
SW1(config-if)#ip access-group 1 in     //在g0/1接口的in方向应用ACL</code></pre><h6>验证命令：</h6><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/1610039577.png" alt="" title="" style=""></p><h6>测试验证：</h6><p><img src="https://wl.gta5pdx.cn/usr/uploads/2022/05/3377861044.png" alt="" title="" style=""></p><h2>实训问题：</h2><p>1） ACL默认最后有一条deny any，故允许（permit）的ACL应该写在上面。若是禁止某网段访问，其他网段均放通，则应该在最后加一条permit any。</p><p>2）标准的ACL只匹配源IP地址；</p><p>3）标准的ACL号是从1-99和1300-1999；</p><p>4）如果是单个IP地址，可写为access-list 1 permit host 192.168.1.1</p>

最后修改：2022 年 05 月 22 日